Sekitar 25 pengguna cryptocurrency yang menggunakan pengelola kata sandi terkemuka LastPass kehilangan lebih dari $4 juta aset digital pada 25 Oktober, menurut detektif on-chain ZachXBT.
ZachXBT, bekerja sama dengan rekan peneliti Tayvano, menelusuri eksploitasi tersebut hingga Desember 2022, ketika LastPass mengonfirmasi adanya pelanggaran keamanan.
$4,4 juta dicuri dari pelanggan LastPass
Pada saat itu, LastPass mengatakan peretas mencadangkan data dari brankas pelanggannya. Ini termasuk informasi tentang nama pengguna dan kata sandi situs web, catatan aman, dan data formulir yang telah diisi.
Sejak itu, pelaku kejahatan telah mengosongkan dompet pengguna mata uang kripto yang mungkin telah menyimpan frase awal mereka di platform. Laporan memperkirakan lebih dari $35 juta telah dicuri dari lebih dari 150 korban sejak bulan Desember.
Postingan tanggal 27 Oktober oleh Tayvano mengungkapkan bahwa eksploitasi terbaru memengaruhi hampir 80 alamat mata uang kripto milik 25 korban ini. Mengakibatkan kerugian sebesar 4,4 juta dolar.
Korban peretasan LastPass. Air mancur; ZachXBT
“Sebagian besar, jika tidak semua, korban adalah pengguna lama LastPass dan/atau mengonfirmasi telah menyimpan kunci/benih mereka di LastPass,” kata Tayvano.
Pakar keamanan memberikan saran mengenai tindakan selanjutnya
Beberapa pakar keamanan kripto telah menasihati pengguna LastPass tentang cara mengurangi kerugian lebih lanjut yang timbul dari peristiwa tersebut.
Tayvano mengatakan pengguna yang dompetnya telah dikosongkan harus “menghubungi dan MENGIRIMKAN IC3 SEKARANG JIKA ANDA BELUM MELAKUKANNYA”. IC3, singkatan dari Internet Crime Complaint Center, adalah pusat pelaporan kejahatan dunia maya.
Dalam postingan terpisah tanggal 22 Oktober di X, pakar keamanan mengingatkan komunitas bahwa semua kredensial yang mereka miliki di LastPass saat ini tahun lalu harus dianggap disusupi.
Oleh karena itu, Tayvano mendesak komunitas untuk “memprioritaskan merotasi rahasia Anda yang paling berharga/tertua + memigrasikan aset hari ini.” Sementara itu, ZachXBT sangat menyarankan Anda:
“Jika Anda merasa pernah menyimpan frase atau kunci awal di LastPass, segera migrasikan aset kripto Anda.”
LastPass lebih lanjut merekomendasikan penggunanya untuk tidak pernah menggunakan kembali kata sandi utama mereka di situs web lain dan juga meminimalkan risiko dengan mengubah kata sandi situs web yang mereka simpan.
